Se você quiser detectar uma sessão SSH atual, use lsof -i :22
e procure retornando mais de 2 linhas ou grep para ESTABLISHED:% [root@nemo ~]# lsof -i :22
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 3772 root 3u IPv6 9906 TCP *:ssh (LISTEN)
sshd 21376 root 3r IPv6 159072 TCP myserver:ssh->someip:27813 (ESTABLISHED)
sshd 21381 james 3u IPv6 159072 TCP myserver:ssh->someip:27813 (ESTABLISHED)
Para ver se uma sessão foi aberta, procure algo semelhante ao seguinte em / var / log / secure (no redhat / centos / fedora):
Sep 27 05:05:28 nemo sshd[21376]: Accepted password for james from some_ip port 27813 ssh2
Se você permitir a autenticação por outros meios além da senha, as entradas de log podem ser ligeiramente diferentes.